Cette semaine, Santé-ISAC®Le piratage des soins de santé® examine le nouveau plan d'action de l'UE visant à améliorer la cybersécurité des hôpitaux et des prestataires de soins de santé. Rejoignez-nous pour un aperçu du contenu du plan d'action avant d'analyser l'effort plus en profondeur dans la section Action et analyse.
Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).
Version PDF: TLP WHITE Piratage des soins de santé 1.24.2025/XNUMX/XNUMX
Taille: 194.9 kB Format: PDF
Version texte :
Bienvenue à Hacking Healthcare®.
Rejoignez-nous pour le briefing mensuel sur les menaces
Mais avant tout, rappelons que mardi et mercredi prochains se tiendra la réunion mensuelle d'information sur les menaces du Health-ISAC. Rejoignez vos collègues membres du Health-ISAC pour que le personnel du Health-ISAC et les organisations partenaires vous présentent un aperçu du paysage des menaces. Les présentations comprennent une évaluation des logiciels malveillants émergents, des tendances APT, des questions juridiques et réglementaires, des problèmes de sécurité physique, etc. Nous encourageons tous les membres du Health-ISAC à profiter de ce service.
Plan d'action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé
En août de l'année dernière, Le piratage des soins de santé a passé en revue ce qu'Ursula von der Leyen, récemment réélue au poste de présidente de la Commission européenne, avait décrit comme les priorités politiques pour la prochaine session de la Commission européenne.[I] Inclus dans son document de position politique de 31 pages, Le choix de l'Europe : orientations politiques pour la prochaine Commission européenne 2024-2029,[Ii] il s’agissait d’une proposition pour « un plan d’action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé dans les 100 premiers jours du mandat ».[Iii]
Le 15 janvier, von der Leyen a concrétisé cette proposition en publiant le Plan d'action européen sur la cybersécurité des hôpitaux et des prestataires de soins de santé.[Iv]
Qu'est-ce que le plan d'action ?
À un niveau élevé, le plan d’action propose une coordination au niveau de l’UE et des mesures de la part de la Commission, de l’ENISA et des États membres pour améliorer la cybersécurité des hôpitaux et des prestataires de soins de santé. Les axes d’effort comprendront la fourniture de conseils, d’outils, de services et de formations sur mesure aux hôpitaux et aux prestataires de soins de santé, et ces actions seront globalement réparties en quatre catégories prioritaires : Prévenir, Détecter, Réagir et Reprendre, et Dissuader.
Quelle est la justification du Plan d’action ?
La Commission européenne a cité de nombreuses justifications pour le plan d’action, notamment l’augmentation de la fréquence et de la sophistication des activités de cybermenace contre le secteur de la santé ; le caractère critique des services des prestataires de soins de santé et la nécessité d’atténuer les dommages causés aux patients ; l’inquiétude concernant l’érosion de la confiance du public résultant des attaques contre le secteur de la santé ; le désir d’améliorer la sécurité et la résilience pendant une période de transformation numérique et d’expansion des surfaces d’attaque ; et le potentiel de compléter des politiques phares comme l’espace européen des données de santé.
À qui s’appliquerait le plan d’action ?
La portée du plan d’action est largement définie comme « principalement axée sur la cybersécurité des hôpitaux et des prestataires de soins de santé ».[V] Elle reconnaît toutefois qu’elle doit prendre en considération l’écosystème et la chaîne d’approvisionnement au sens large.
Que propose le plan d’action ?
Le plan d'action comprend une longue liste de mesures proposées qui devraient être mises en œuvre par la Commission européenne elle-même, l'Agence européenne pour la cybersécurité (ENISA), les gouvernements des États membres de l'Union européenne et divers éléments du secteur privé. Parmi les propositions les plus importantes figurent :
- L'ENISA – La création d’un Centre européen de soutien à la cybersécurité dédié aux hôpitaux et aux prestataires de soins de santé.
- L'ENISA – La création d’un catalogue européen des vulnérabilités connues exploitées (KEV) pour les dispositifs médicaux, les systèmes de dossiers médicaux électroniques et les fournisseurs d’équipements et de logiciels TIC dans le domaine de la santé.
- L'ENISA – L’élaboration de manuels de réponse aux incidents cybernétiques adaptés au secteur de la santé.
- Commission européenne – L’élaboration de programmes pilotes visant à élaborer des pratiques exemplaires en matière d’hygiène informatique et d’évaluation des risques de sécurité, ainsi qu’à répondre au besoin de surveillance continue de la cybersécurité, de renseignements sur les menaces et de réponse aux incidents.
- États membres – Il serait encouragé de faciliter le partage des ressources entre les prestataires de soins de santé, potentiellement par le biais d’achats conjoints ou de ressources communes afin d’accroître le pouvoir de négociation avec les prestataires de services de cybersécurité.
- États membres – Il serait encouragé d’établir des critères de financement non contraignants pour les entités du secteur de la santé et de surveiller les objectifs de financement.
- Industrie – Les entreprises de cybersécurité, les fondations, les établissements d’enseignement et les acteurs du secteur seraient encouragés à s’engager à prendre des mesures pour relever les défis du secteur (par exemple, améliorer la formation en cybersécurité, mener des activités de sensibilisation, fournir des services de sécurité gérés à un coût réduit et partager des informations sur les menaces avec l’ENISA).
Les mesures proposées sont bien trop nombreuses pour pouvoir toutes les couvrir ici, mais l’annexe du plan d’action contient un aperçu complet classé par entité responsable.
Que ce passe t-il après?
La Commission européenne devrait lancer prochainement des consultations publiques. Parallèlement à ces consultations, la Commission européenne a déclaré que les discussions se poursuivraient avec les États membres et les « réseaux concernés » afin de « recueillir davantage d’informations ». Les résultats de ces échanges devraient éclairer d’autres recommandations et révisions du plan d’action d’ici la fin de l’année.
Action et analyse
**Disponible avec l'adhésion à Health-ISAC**
[I] https://health-isac.org/health-isac-hacking-healthcare-8-9-2024/
[Ii]https://commission.europa.eu/document/download/e6cd4328-673c-4e7a-8683-f63ffb2cf648_en?filename=Political%20Guidelines%202024-2029_EN.pdf
[Iii]https://commission.europa.eu/document/download/e6cd4328-673c-4e7a-8683-f63ffb2cf648_en?filename=Political%20Guidelines%202024-2029_EN.pdf
[Iv]https://digital-strategy.ec.europa.eu/en/library/european-action-plan-cybersecurity-hospitals-and-healthcare-providers
[V] Est défini dans le texte comme « toute personne physique ou morale – ou toute autre entité – fournissant légalement des soins de santé sur le territoire d’un État membre »
- Ressources et actualités connexes
- Un hôpital du Massachusetts refuse l'accès aux ambulances après une cyberattaque
- Podcast : Phil Englert parle de la cybersécurité des dispositifs médicaux
- La menace interne refait surface
- « Occasion manquée » : l’absence du gouvernement américain à la conférence RSAC crée un vide immense
- Santé-Piratage du système de santé par l'ISAC 3/26/2026
- Santé-Piratage du système de santé par l'ISAC 3/19/2026
- Bulletin mensuel Health-ISAC – Avril 2026
- Rapport d'après-action : Série d'exercices de résilience Health-ISAC 2025
- Pourquoi le rôle de Microsoft Intune dans la cyberattaque de Stryker est une perspective inquiétante
- Le gouverneur du Texas ordonne un examen étatique des technologies médicales fabriquées en Chine